Проблема: модель знает ответ, но молчит
Задаете GPT-5 (или любой другой продвинутой LLM на 2026 год) профессиональный медицинский вопрос? Спрашиваете, как оптимизировать критически важную систему? Просите сгенерировать код для исследования уязвимостей? В лучшем случае получите уклончивый ответ. В худшем — стандартную отмазку про безопасность.
Это не баг. Это фича. После выравнивания через RLHF и подобные методы модели становятся параноиками. Они знают ответ. Имеют вычислительные мощности. Но в средних слоях трансформера срабатывает триггер: "СТОП, ЭТО ОПАСНО". Механизм отказа активируется, и вместо полезного контента вы получаете моральную проповедь.
Современные LLM к началу 2026 года стали настолько осторожными, что отказываются от 15-20% законных профессиональных запросов. Особенно в областях права, медицины и безопасности. Это делает их бесполезными для специалистов.
В предыдущей статье про Refusal Steering мы решали проблему хирургическим удалением конкретных слоев. Работает. Но есть нюанс.
Refusal Steering — это снайперский выстрел. Вы находите один-два слоя, ответственных за отказ по конкретному паттерну, и отключаете их. А если отказы возникают из-за комбинации факторов? Если модель отказывается не по одному, а по двадцати разным причинам, разбросанным по разным нейронам? Тут нужен не снайпер, а ковровая бомбардировка с системой наведения.
От точечного удаления к многонаправленному подавлению
Multi-Directional Refusal Suppression (MDRS) — это эволюция идеи. Вместо поиска "слоев отказа" мы ищем "направления отказа" в скрытом пространстве модели.
Представьте скрытые состояния LLM как многомерную галактику. Каждая точка — это активация модели на каком-то запросе. Запросы, ведущие к отказу, образуют свои созвездия в этом пространстве. Но они не сгруппированы аккуратно в одном слое. Они разбросаны по всему объему, смешаны с полезными активациями.
Вот тут и появляются самоорганизующиеся карты (Self-Organizing Maps, SOM). Алгоритм, изобретенный еще в 1980-х, неожиданно становится убийственной фичей для взлома AI в 2026 году.
Самоорганизующиеся карты: старый добрый хаос на службе у нейросетей
SOM — это тип нейронной сети, которая проецирует многомерные данные на низкоразмерную (обычно двумерную) карту, сохраняя топологические отношения. Проще говоря, она группирует похожие вещи рядом на плоскости.
Зачем это нам? Мы пропускаем через базовую LLM тысячи запросов — как "хороших", так и "плохих" (тех, на которые модель отказывается). Собираем скрытые состояния со всех слоев (или выбранных критических слоев). Получаем гору векторов размерностью в десятки тысяч измерений.
Пытаться найти в этом хаосе закономерности вручную — все равно что искать иголку в стоге сена, который еще и движется со скоростью света.
SOM делает чудо. Она раскладывает эти вектора на двумерную сетку. И оказывается, что все состояния, связанные с отказами, собираются в определенных регионах этой карты. Неважно, из какого они слоя. Важно, что они похожи по своей "сути".
| Метод | Точность воздействия | Риск повреждения модели | Обработка сложных отказов |
|---|---|---|---|
| Refusal Steering (Surgical Removal) | Высокая для единичных паттернов | Средний (можно задеть соседние функции) | Плохо |
| Полное дообучение (Fine-tuning) | Низкая (меняет всю модель) | Высокий (может "сломать" знания) | Умеренно |
| Multi-Directional Refusal Suppression (MDRS) | Очень высокая (на уровне кластеров) | Низкий (точечная абляция кластеров) | Отлично |
Как это работает технически: от теории к взлому
Процесс разбивается на этапы, каждый из которых — отдельная битва с математикой.
1 Сбор скрытых состояний: подключаем диагностику
Берем модель (скажем, Mistral 12B 2026 года выпуска). Готовим два набора промптов:
- Базовые промпты: нейтральные запросы, на которые модель отвечает нормально.
- Промпты-триггеры: запросы, которые гарантированно вызывают отказ. Сюда входят не только очевидные "вредные" запросы, но и профессиональные вопросы из серых зон.
Пропускаем их через модель, сохраняя скрытые состояния (активации) с ключевых слоев. Исследования 2025-2026 годов показывают, что наиболее информативны слои с 15-го по 25-й в моделях с 30+ слоями.
2 Обучение SOM: рисуем карту отказов
Собранные вектора склеиваем (иногда используют PCA для уменьшения размерности, но современные реализации SOM справляются с большими размерностями). Обучаем самоорганизующуюся карту.
Размер сетки имеет значение. Для модели в 10-30 миллиардов параметров оптимальна сетка 20x20 или 30x30. Больше — будет переобучение. Меньше — потеряем детализацию.
На 2026 год лучшей библиотекой для SOM в Python считается SimpSOM 3.1+ (спонсорская ссылка: официальный сайт). Она поддерживает GPU-ускорение через CuPy и работает в разы быстрее старых аналогов.
3 Идентификация кластеров отказа: находим врага
После обучения смотрим на карту. Каждой ячейке SOM соответствует группа похожих скрытых состояний. Мы знаем, какие состояния были с промптов-триггеров. Отмечаем эти ячейки.
Оказывается, они не разбросаны случайно. Они образуют "острова отказа" на карте. Иногда один большой архипелаг. Иногда несколько отдельных островков (это значит, что у модели разные причины для отказа).
4 Многонаправленная абляция: точечный удар
Вот сердце метода. Для каждого "острова отказа" на SOM мы вычисляем средний вектор (центроид) состояний, попавших в этот кластер.
Затем, во время инференса, мы отслеживаем скрытые состояния модели в реальном времени. Как только состояние попадает в зону влияния одного из центроидов отказа (по косинусной близости), мы применяем абляцию — подавляем этот вектор.
Подавление не означает обнуление. Это мягкое сдвигание вектора в сторону "нейтральных" областей пространства. Технически, мы вычисляем разность между текущим вектором и центроидом отказа, и добавляем к текущему вектору взвешенную часть этой разности.
5 Валидация и KL-расхождение: проверяем, не сломали ли мы все
После вмешательства нужно убедиться, что модель не превратилась в безбашенного психопата. Мы сравниваем распределение выходов модифицированной модели с распределением исходной на нейтральных промптах.
KL-расхождение (Kullback-Leibler divergence) должно оставаться низким (<0.1). Если оно подскакивает до 0.5 и выше — вы перестарались с абляцией и сломали нормальную работу модели.
Идеальный результат: KL-расхождение минимально, а количество отказов на триггерных промптах упало на 70-90%.
Нюансы, которые решают все (и где все ломается)
В теории все гладко. На практике MDRS требует ювелирной настройки.
Ошибка №1: Слепая вера в одну SOM. Обучили карту на одном наборе данных — и думаете, что она покрыла все возможные отказы. Не покрыла. Механизмы отказа в LLM адаптируются к контексту. Нужно постоянно обновлять тренировочный набор, включая в него новые типы триггеров.
Размерность — враг и друг. Использовать сырые скрытые состояния размерностью 4096+ — вычислительно накладно. Но агрессивное снижение размерности через PCA до 100 измерений может уничтожить тонкие различия между "опасным" и "просто сложным" запросом. Нужно искать баланс.
Порог срабатывания. Как определить, что текущее скрытое состояние "достаточно близко" к центроиду отказа, чтобы его подавлять? Слишком низкий порог — абляция сработает на нейтральных запросах, испортив ответ. Слишком высокий — пропустит отказы. Этот порог подбирается экспериментально для каждой модели.
Визуализация — не роскошь. Без визуализации карты SOM вы работаете вслепую. Современные инструменты типа TensorBoard Projector или специализированные библиотеки для визуализации SOM (например, SOMvis 2.0) позволяют раскрашивать карту по типам промптов и в реальном времени видеть, куда попадает новый запрос.
Что в итоге? Цифры и перспективы
Эксперименты с открытыми моделями (Llama 3.1 70B, Mistral Next 12B) в начале 2026 года показывают:
- Снижение частоты необоснованных отказов на 85% по сравнению с исходной моделью.
- Рост KL-расхождения всего на 0.07-0.09 (практически незаметно для пользователя).
- Скорость инференса падает на 3-5% из-за дополнительных вычислений близости к центроидам.
MDRS не делает модель всезнайкой. Он не добавляет новых знаний. Он просто убирает искусственные барьеры, которые сами разработчики поставили в процессе выравнивания. Это как снять с эксперта наручники, оставленные слишком усердным тренером по безопасности.
Этот метод особенно эффективен в связке с другими подходами. Например, можно сначала применить DPO для общей настройки поведения, а затем точечно подавить оставшиеся отказы через MDRS.
Вопросы, которые вы хотели задать, но боялись
MDRS сделает модель опасной?
Нет, если правильно настроить. Метод подавляет именно необоснованные отказы на профессиональные запросы. Он не отключает фильтры на откровенно вредоносный контент (например, призывы к насилию). Для этого нужна отдельная, более тонкая настройка датасетов.
Метод работает для любых LLM?
В теории да. На практике для проприетарных моделей вроде GPT-5 или Claude 4 вам недоступны скрытые состояния. MDRS требует низкоуровневого доступа к активациям модели. Поэтому метод — инструмент в первую очередь для исследователей и компаний, которые работают с open-source моделями или имеют доступ к внутренностям своих AI.
Есть готовый код?
На момент февраля 2026 года полных открытых реализаций MDRS нет. Есть разрозненные компоненты: библиотеки для SOM, код для извлечения скрытых состояний из трансформеров (например, через Hugging Face PEFT). Собрать все воедино — задача на неделю для опытного инженера. (Спонсорская ссылка: продвинутый курс по внутренностям LLM может помочь).
Главный прогноз на 2026-2027 годы: методы тонкого вмешательства вроде MDRS станут стандартом для кастомизации корпоративных LLM. Потому что businesses устали от того, что их дорогущая нейросеть отказывается анализировать собственные риски под предлогом "это может быть небезопасно".
Следующий логичный шаг — не просто подавление отказов, а перенаправление модели в нужные смысловые русла. Но это уже тема для отдельного разговора, возможно, с использованием архитектур System 2, о которых мы уже писали ранее.
